VMware: Mehrere Produkte mit Stored-Cross-Site-Scripting-Lücken

In VMware Cloud Foundation und damit arbeitenden Produkten klaffen Stored-Cross-Site-Scripting-Lücken. Angreifer können damit Opfern Script-Code unterschieben.

In einer Sicherheitsmitteilung warnt Broadcom vor den Schwachstellen. Mehrere Sicherheitslücken dieses Schwachstellentyps finden sich in der Virtualisierungssoftware. Die Entwickler fassen das nur knapp zusammen: VMware Cloud Foundation Operations enthält demnach mehrere Stored-Cross-Site-Scripting-Lücken. Angreifer mit Rechten, Richtlinien, Views oder Text-Widgets anzulegen, können dadurch Scripte einschleusen – die als administrative Aktionen in VMware Cloud Foundation Operations ausgeführt werden (CVE-2026-41722, CVE-2026-41723 und CVE-2026-41724; alle CVSS 8.0, Risiko „hoch“).

Betroffen ist eine Handvoll an VMware-Lösungen. Die Sicherheitslücken stopfen VMware Cloud Foundation und vSphere Foundation ab Version 9.1.0 und 9.0.2.0 EP2, VMware Aria Operations 8.18.6 sowie VMware Cloud Foundation und VMware Aria Operations 8.18.7. Für VMware Telco Cloud Platform stellt Broadcom einen eigenen Knowledgebase-Beitrag bereit.

Kein Missbrauch gemeldet

Die Schwachstellen werden offenbar noch nicht in freier Wildbahn ausgenutzt, da Broadcom diesbezüglich nichts erwähnt. Es gibt keine temporären Gegenmaßnahmen, die Admins als Zwischenlösung umsetzen könnten. Lediglich die Aktualisierung auf die fehlerkorrigierten Softwarestände hilft dem Sicherheitsproblem ab. IT-Verantwortliche sollten nicht lange zögern, sondern die Aktualisierungen zeitnah anwenden.

Ende Februar hat Broadcom bereits drei Sicherheitslücken in VMware Aria Operations und Cloud Foundation schließen müssen. Auch hier hätten Angreifer Schadcode einschleusen und ausführen können. Damals handelte es sich aber um unterschiedliche Schwachstellen, die konkret das Einschleusen von Befehlen ermöglichten, das Ausweiten von Rechten im System und in einem Fall ebenfalls Stored-Cross-Site-Scripting.

(dmk)